Hace un año, se anunciaba una nueva vulnerabilidad (CVE-2014-6271) que afectaba a la Bourne Again Shell (Bash) y se le daba el nombre de “Shellshock”. A pesar de las preocupaciones iniciales de que esta vulnerabilidad podría propagar ataques y compromisos, no hubo ataques “tipo Conficker”. Pero sería un error concluir que “Shellshock” fue sólo una estrategia de marketing. Un análisis de los datos un año después muestra que Shellshock fue de hecho una vulnerabilidad seria y que ha estado atacando. Podría ser fácil y atractivo descartar las vulnerabilidades dadas a conocer como propaganda cuando muchos ataques no lograron materializarse, pero lo hacemos bajo nuestro propio riesgo.
Cuando se dio a conocer Shellshock hace un año, fue considerada potencialmente más grande que Heartbleed, la principal vulnerabilidad OpenSSL que se dio a conocer a principios de abril de 2014. Desde el punto de vista técnico, Shellshock fue más grande que Heartbleed: el alcance de los sistemas afectados de Shellshock fue mayor. Heartbleed sólo afectó a los sistemas que utilizaban OpenSSL mientras que Shellshock afectó a los sistemas con Bash instalado. En términos del número de víctimas potenciales, Shellshock fue mayor que Heartbleed.
Pero en las semanas y los meses que siguieron al anuncio de la vulnerabilidad y a la liberación de los parches, no ocurrió ningún ataque. Definitivamente hubo ataques que nuestros investigadores describieron. Pero no hubo ataques a la par de algo como Conficker.
Ciertamente, Shellshock salió del radar de todos para noviembre de 2014: no hubo ataques ni desarrollos importantes en el caso.
Entonces, ¿eso significa que estábamos equivocados y que no era una gran amenaza? No.
Primero, mediante un criterio de análisis objetivo de las vulnerabilidades, Shellshock estuvo literalmente en la cima de la escala de severidad. Bajo la calificación CVSS V2, Shellshock fue calificado con 10.0, colocado en la parte más alta de la escala. En contraste, Heartbleed tuvo una calificación de 5.0. Calificar las vulnerabilidades es particularmente complicado pero 10.0 es claro: de acuerdo con los criterios técnicos esta fue una vulnerabilidad importante y peor que Heartbleed.
Segundo, cuando hablamos de vulnerabilidades estamos hablando del potencial de sufrir ataques. Quien tiene experiencia en el mundo de las vulnerabilidades y de los ataques puede decir con seguridad que no existe una correlación 1:1 directa entre la severidad de una vulnerabilidad y la severidad de los ataques contra dicha vulnerabilidad. Algunas veces ha habido ataques importantes contra vulnerabilidades relativamente menores mientras que las grandes vulnerabilidades son ignoradas. El hecho de que una amenaza pase desapercibida no significa que la amenaza no esté ahí.
Finalmente, responder a las vulnerabilidades es complicado porque cuando hay una amenaza importante, si usted hace el trabajo correcto, nada malo sucederá. En cierto modo, el éxito puede despertar sospechas acerca de todo el proceso: si algo malo sucede, ¿cómo puedo estar seguro de que el ejercicio realmente evitó algo? Esta es una de las razones de por qué, con el tiempo, los atacantes tienen mucho más éxito al utilizar vulnerabilidades viejas no muy conocidas para sus ataques: los administradores tienen menos probabilidades de saber de ellas y por tanto de parcharlas.
Pero la pregunta de si estábamos equivocados es respondida por los datos que nuestros investigadores han expuesto en el blog “Un año después de Shellshock, ¿están más seguros sus servidores y dispositivos?” Hubo ataques contra Shellshock durante el año pasado, incluso los ataques se están dando y si usted es víctima de uno, no importa si alguien más es afectado o no: usted lo es y eso es todo lo que importa. También vale la pena mencionar que probablemente los ataques no han figurado en las noticias porque nuestro análisis muestra que Norteamérica sólo representa menos de 14% de los ataques exitosos de Shellshock después de un año. Considerando que Estados Unidos está desproporcionadamente a salvo de los ataques de Shellshock tiene sentido que estos no aparezcan en las noticias.
Un año después, con aparentemente pocos sistemas afectados por los ataques contra la vulnerabilidad Shellshock, es fácil calificar la situación como algo intrascendente, las advertencias como un ardid y la promesa de “no ser engañados otra vez”. En efecto, es tentador citar la historia de “Pedro y el Lobo” entre los profesionales de la seguridad. Pero si bien esa historia tiene lecciones importantes, no se aplican aquí. El manejo de vulnerabilidades es como pagar un seguro: lo hace con la esperanza de que nada suceda como resultado de él o a pesar de él. No deberíamos permitir que el éxito de Shellshock nos haga caer en la complacencia para que la próxima vulnerabilidad importante pueda hacer ataques. Eso sería tomar la lección equivocada de este evento un año después.
Leave a Reply